Компания «Инфо-Оберег» Дорофеев Владимир Игоревич
Персональные данные
Федеральный закон от 27 июля 2006 г. 152-ФЗ « О персональных данных » Постановление Правительства РФ от 17 ноября 2007 г. 781 « Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных » Законодательная база по обеспечению безопасности персональных данных
Постановление Правительства РФ от 15 сентября 2008 г. 687 « Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации »
Федеральный закон от 27 июля 2006 г. 152-ФЗ « О персональных данных » персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Ф амилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация ( в том числе результат ЕГЭ) ; оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных; Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных (согласно ЧМУ).
Стадии создания системы защиты ИСПДн Проведение комплексного обследования Разработка модели угроз безопасности Классификация ИСПДн Проектирование системы защиты информации Разработка организационно-распорядительной документации Подготовка к проведению оценки соответствия системы
152-ФЗ « О персональных данных » Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (Статья 6 пункт 1). Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи (Статья 22 пункт1). Законодательная база по обеспечению безопасности персональных данных
Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ « Об утверждении Порядка проведения классификации информационных систем персональных данных » Определяются следующие категории обрабатываемых в информационной системе персональных данных (Пункт 6): категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные.
Порядок проведения классификации категория обрабатываемых в информационной системе персональных данных; объем обрабатываемых персональных данных; заданные оператором характеристики безопасности персональных данных; структура информационной системы; наличие подключений информационной системы к сетям связи общего пользования; режим обработки персональных данных; режим разграничения прав доступа пользователей; местонахождение технических средств информационной системы.
Типовые информационные системы информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных класс 1 (К1) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных может привести к значительным негативным последствиям для субъектов ПДн; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных может привести к негативным последствиям для субъектов ПДн; класс 3 (КЗ) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных может привести к незначительным негативным последствиям для субъектов ПДн; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн. Порядок проведения классификации
Специальные информационные системы -информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Таблица классификации ИСПДн по рекомендациям ФСТЭК Х пд Х нпд 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1
Ответственность ФЗ 152 «О персональных данных»: Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ (Уголовный Кодекс РФ (УК РФ) Статья 137. Нарушение неприкосновенности частной жизни Статья 140. Отказ в предоставлении гражданину информации Статья 272. Неправомерный доступ к компьютерной информации ФЗ 152 «О персональных данных»: Статья 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ (Уголовный Кодекс РФ (УК РФ) Статья 137. Нарушение неприкосновенности частной жизни Статья 140. Отказ в предоставлении гражданину информации Статья 272. Неправомерный доступ к компьютерной информации
Ответственность Административная ответственность Кодекс об Административных Правонарушениях РФ (КоАП РФ) Статья Нарушение установленного законом "О персональных данных" порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Статья Нарушение правил защиты информации Статья Разглашение информации с ограниченным доступом Административная ответственность Кодекс об Административных Правонарушениях РФ (КоАП РФ) Статья Нарушение установленного законом "О персональных данных" порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Статья Нарушение правил защиты информации Статья Разглашение информации с ограниченным доступом
Ответственность Дисциплинарная ответственность (Трудовой кодекс) Статья 81 - Однократное грубое нарушение работником трудовых обязанностей - разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника - увольнение Статья 90 - Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника - увольнение
Риск Персональные данные (ПД) клиентов, партнеров и сотрудников являются важнейшим активом любой организации (компании) и, в то же время, ее серьезной проблемой. Утечка персональных данных не выгодна ни компании (она испытывает масштабные репутационные потери), ни владельцам этой информации (они испытывают как минимум беспокойство, а как максимум – становятся жертвами различных афер). Персональные данные (ПД) клиентов, партнеров и сотрудников являются важнейшим активом любой организации (компании) и, в то же время, ее серьезной проблемой. Утечка персональных данных не выгодна ни компании (она испытывает масштабные репутационные потери), ни владельцам этой информации (они испытывают как минимум беспокойство, а как максимум – становятся жертвами различных афер).
Положение о методах и способах защиты информации в информационных системах персональных данных
Базовые системы Подсистема антивирусной защиты. Межсетевого экранирования. Контроль от НСД. Подсистема контроля доступа. Подсистема антивирусной защиты. Межсетевого экранирования. Контроль от НСД. Подсистема контроля доступа.
Дорофеев Владимир Игоревич Инфо-оберег.рф Дорофеев Владимир Игоревич Инфо-оберег.рф